論文の概要: Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance
- arxiv url: http://arxiv.org/abs/2308.05034v3
- Date: Thu, 28 Sep 2023 03:02:57 GMT
- ステータス: 処理完了
- システム内更新日: 2023-09-29 20:07:34.528112
- Title: Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance
- Title(参考訳): Kairos: 全システム前処理を用いた実用的な侵入検知と調査
- Authors: Zijun Cheng, Qiujian Lv, Jinyuan Liang, Yan Wang, Degang Sun, Thomas
Pasquier, Xueyuan Han
- Abstract要約: 警告グラフは、システムの実行履歴を記述した構造化監査ログである。
証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。
4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
- 参考スコア(独自算出の注目度): 4.101641763092759
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Provenance graphs are structured audit logs that describe the history of a
system's execution. Recent studies have explored a variety of techniques to
analyze provenance graphs for automated host intrusion detection, focusing
particularly on advanced persistent threats. Sifting through their design
documents, we identify four common dimensions that drive the development of
provenance-based intrusion detection systems (PIDSes): scope (can PIDSes detect
modern attacks that infiltrate across application boundaries?), attack
agnosticity (can PIDSes detect novel attacks without a priori knowledge of
attack characteristics?), timeliness (can PIDSes efficiently monitor host
systems as they run?), and attack reconstruction (can PIDSes distill attack
activity from large provenance graphs so that sysadmins can easily understand
and quickly respond to system intrusion?). We present KAIROS, the first PIDS
that simultaneously satisfies the desiderata in all four dimensions, whereas
existing approaches sacrifice at least one and struggle to achieve comparable
detection performance.
Kairos leverages a novel graph neural network-based encoder-decoder
architecture that learns the temporal evolution of a provenance graph's
structural changes to quantify the degree of anomalousness for each system
event. Then, based on this fine-grained information, Kairos reconstructs attack
footprints, generating compact summary graphs that accurately describe
malicious activity over a stream of system audit logs. Using state-of-the-art
benchmark datasets, we demonstrate that Kairos outperforms previous approaches.
- Abstract(参考訳): 警告グラフは、システムの実行履歴を記述した構造化監査ログである。
最近の研究では、ホスト侵入検出のためのプロヴァンスグラフを分析する様々な手法が研究され、特に高度な永続的脅威に焦点を当てている。
Sifting through their design documents, we identify four common dimensions that drive the development of provenance-based intrusion detection systems (PIDSes): scope (can PIDSes detect modern attacks that infiltrate across application boundaries?), attack agnosticity (can PIDSes detect novel attacks without a priori knowledge of attack characteristics?), timeliness (can PIDSes efficiently monitor host systems as they run?), and attack reconstruction (can PIDSes distill attack activity from large provenance graphs so that sysadmins can easily understand and quickly respond to system intrusion?).
KAIROSは4次元すべてでデシラタを同時に満足させる最初のPIDSであるが、既存のアプローチでは少なくとも1つを犠牲にして、同等な検出性能を達成するのに苦労している。
Kairosは、新しいグラフニューラルネットワークベースのエンコーダ-デコーダアーキテクチャを活用し、前兆グラフの構造変化の時間的進化を学び、各システムイベントの異常度を定量化する。
そして、この詳細な情報に基づいて攻撃フットプリントを再構築し、システム監査ログのストリーム上で悪意のあるアクティビティを正確に記述するコンパクトな要約グラフを生成する。
最先端のベンチマークデータセットを使用して、Kairosが従来のアプローチより優れていることを示す。
関連論文リスト
- Time-Aware Face Anti-Spoofing with Rotation Invariant Local Binary Patterns and Deep Learning [50.79277723970418]
模倣攻撃は 不正な識別と その後の攻撃者の認証につながる
顔認識と同様に、模倣攻撃も機械学習で検出できる。
本稿では,未使用の機能と時間認識の深層学習戦略を組み合わせることで,高い分類精度を実現する新しい手法を提案する。
論文 参考訳(メタデータ) (2024-08-27T07:26:10Z) - Corpus Poisoning via Approximate Greedy Gradient Descent [48.5847914481222]
本稿では,HotFlip法をベースとした高密度検索システムに対する新たな攻撃手法として,近似グレディ・グラディエント・Descentを提案する。
提案手法は,複数のデータセットと複数のレトリバーを用いて高い攻撃成功率を達成し,未知のクエリや新しいドメインに一般化可能であることを示す。
論文 参考訳(メタデータ) (2024-06-07T17:02:35Z) - Effective In-vehicle Intrusion Detection via Multi-view Statistical
Graph Learning on CAN Messages [9.04771951523525]
車両内ネットワーク(IVN)は、様々な複雑な外部サイバー攻撃に直面している。
現在の主流侵入検知機構では、粗粒度しか認識できない。
本稿では,多視点統計グラフ学習の効果的な侵入検出法であるStatGraphを提案する。
論文 参考訳(メタデータ) (2023-11-13T03:49:55Z) - NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation [15.803901489811318]
NodLinkは、検出粒度を犠牲にすることなく高い検出精度を維持する最初のオンライン検出システムである。
そこで本研究では,APT攻撃検出における従来の手法よりも高速な,メモリ内キャッシュ,効率的な攻撃スクリーニング手法,および新しい近似アルゴリズムを提案する。
論文 参考訳(メタデータ) (2023-11-04T05:36:59Z) - Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection [2.07180164747172]
できるだけ早く、先進的永続的脅威を検出する必要がある。
本稿では,攻撃者の行動を検出するエンタープライズホストの行動を継続的に監視するシステムであるProv2Vecを提案する。
論文 参考訳(メタデータ) (2023-10-02T01:38:13Z) - Disentangled Causal Graph Learning for Online Unsupervised Root Cause
Analysis [49.910053255238566]
ルート原因分析(RCA)は、システム監視データを分析することにより、システム障害/障害の根本原因を特定することができる。
従来の研究は主にオフラインのRCAアルゴリズムの開発に重点を置いており、しばしば手動でRCAプロセスを開始する必要がある。
我々は、RCAプロセスを自動的に起動し、RCAモデルを漸進的に更新できる新しいオンラインRCAフレームワークであるCORALを提案する。
論文 参考訳(メタデータ) (2023-05-18T01:27:48Z) - Novelty Detection in Network Traffic: Using Survival Analysis for
Feature Identification [1.933681537640272]
侵入検知システムは、多くの組織のサイバー防衛とレジリエンス戦略の重要な構成要素である。
これらのシステムの欠点の1つは、悪意のあるネットワークイベントを検出するために既知の攻撃シグネチャに依存することである。
本稿では,生存分析技術に基づく新規性検出に影響を及ぼすネットワークトラフィックの特徴を識別するための,従来からあるアプローチを提案する。
論文 参考訳(メタデータ) (2023-01-16T01:40:29Z) - Early Detection of Network Attacks Using Deep Learning [0.0]
ネットワーク侵入検知システム(英: Network Intrusion Detection System、IDS)は、ネットワークトラフィックを観察することによって、不正かつ悪意のない行動を特定するためのツールである。
本稿では,攻撃対象のシステムにダメージを与える前に,ネットワーク攻撃を防止するために,エンド・ツー・エンドの早期侵入検知システムを提案する。
論文 参考訳(メタデータ) (2022-01-27T16:35:37Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z) - Bayesian Optimization with Machine Learning Algorithms Towards Anomaly
Detection [66.05992706105224]
本稿では,ベイズ最適化手法を用いた効果的な異常検出フレームワークを提案する。
ISCX 2012データセットを用いて検討したアルゴリズムの性能を評価する。
実験結果から, 精度, 精度, 低コストアラームレート, リコールの観点から, 提案手法の有効性が示された。
論文 参考訳(メタデータ) (2020-08-05T19:29:35Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。